Docker Hardened Images atau yang sering disingkat DHI merupakan citra basis (base images) Docker yang sudah dirancang sedemikian rupa agar jauh lebih aman, minimalis, dan siap digunakan untuk lingkungan produksi. Singkatnya, DHI adalah fondasi buat kalian yang ingin membangun aplikasi di dalam container tanpa harus pusing memikirkan celah keamanan bawaan yang biasanya ada pada image standar.
Pada dasarnya, Docker sendiri adalah platform yang memudahkan kita buat bikin, ngetes, dan sebarin aplikasi dalam lingkungan yang konsisten. Tapi, masalahnya seringkali image yang kita pakai itu terlalu “gemuk” atau punya banyak lubang keamanan. Nah, DHI ini hadir buat menutup celah tersebut. Image ini dikelola langsung sama tim Docker dan fokus banget buat ngurangin apa yang disebut sebagai attack surface atau area yang bisa diserang, sekaligus meminimalisir risiko pada rantai pasokan software (supply-chain risks) di level container. Kayaknya, ini jadi jawaban buat kalian yang selama ini was-was sama keamanan container yang dipakai.
Secara teknis, DHI punya beberapa karakteristik yang sebegitu pentingnya buat keamanan modern. Pertama, citra ini bersifat rootless, yang artinya nggak berjalan dengan hak akses tertinggi secara default, jadi kalaupun ada penyusup, mereka nggak bakal langsung bisa menguasai seluruh sistem kalian. Isinya juga sudah dipangkas habis-habisan; komponen yang nggak perlu dibuang begitu saja. DHI ini juga diklaim bebas dari kerentanan (vulnerabilities) yang sudah diketahui saat dirilis dan mendukung standar Vulnerability Exploitability eXchange (VEX) biar manajemen keamanannya jadi lebih simpel dan nggak ribet.
Kira-kiranya ada sekitar 1.000 lebih image DHI yang sekarang sudah tersedia secara gratis dan bersifat open source di bawah lisensi Apache 2.0. Ini perubahan besar, karena sebelumnya fitur ini kayaknya cuma ditujukan buat pelanggan komersial aja. Sekarang, sekitar 26 juta developer di ekosistem container bisa pakai, berbagi, dan modifikasi image ini tanpa perlu takut ada biaya lisensi yang tiba-tiba muncul di kemudian hari. Docker sepertinya pengen bikin standar industri baru di mana keamanan itu jadi hak dasar setiap pengembang, bukan cuma buat perusahaan besar yang punya budget melimpah.
Meskipun gratis, Docker nggak pelit soal fitur keamanan di DHI ini. Setiap image tetap bisa diverifikasi pakai SBOM (Software Bill of Materials) dan punya bukti otentikasi yang jelas. Mereka juga pakai standar SLSA Build Level 3, jadi asal-usul image-nya itu jelas dan bisa dipertanggungjawabkan keasliannya. Nggak bakal ada deh ceritanya kalian dapet image yang isinya disisipin malware aneh-aneh.
Namun, ada sedikit perbedaan antara versi gratis dan versi Enterprise atau berbayar. Di versi Enterprise, ada komitmen SLA (Service Level Agreement) di mana setiap ada celah keamanan baru yang ditemukan, perbaikannya dijamin bakal rilis dalam waktu maksimal 7 hari. Bahkan, tim Docker punya ambisi buat neken waktu perbaikan itu jadi cuma sehari atau kurang buat pelanggan berbayar. Kalau kalian pakai yang versi gratis, ya patch-nya tetep bakal dikasih, cuma nggak ada jaminan waktu pastinya kapan rilis. Selain itu, versi berbayar juga kasih keleluasaan buat modifikasi image lebih dalam, konfigurasi runtime, sampai instalasi tools tambahan yang mungkin kalian butuhkan.
Langkah Docker buat ngelepas DHI secara bebas ini sepertinya bakal ngerubah cara kita ngelihat keamanan container. Mengingat ancaman siber yang makin hari makin nggak masuk akal, punya fondasi yang kuat sejak tarikan pertama (first pull) itu sebegitu krusialnya. Rekomendasinya jelas, buat kalian yang lagi ngebangun sistem, mendingan segera cek katalog DHI dan mulai migrasiin base image kalian ke versi yang lebih aman ini. Kuranglebihnya, investasi waktu kalian buat ganti image sekarang bakal jauh lebih berharga daripada harus beresin urusan data bocor nantinya. Jadi, jangan malas buat eksplorasi standar keamanan baru ini demi ekosistem software yang lebih sehat. Terima kasih sudah menyempatkan waktu buat baca ulasan singkat ini, rekan-rekanita, semoga bermanfaat buat proyek kalian!